量子密钥分发与认证：区分事实与误解

量子密钥分发（QKD）是一种利用量子物理定律在远距离通信方之间安全共享秘密信息的技术。通过QKD，量子力学特性确保任何人试图干扰秘密共享过程时，通信双方都会知晓。通过QKD建立的密钥可用于传统对称加密或其他密码技术来保护通信安全。

“现在记录，以后解密”（RNDL）是量子计算进步带来的网络安全风险。该术语指攻击者如今记录加密数据，即使无法立即解密。他们存储这些数据，期望未来的量子计算机能够强大到破解当前保护数据的密码算法。金融记录、医疗数据或国家机密等敏感信息可能面临风险，即使在传输多年后。缓解RNDL需要采用抗量子密码方法，如后量子密码（PQC）和/或量子密钥分发（QKD），以确保面对未来量子进步时的机密性。

量子通信的重要性足以让其在2022年获得诺贝尔物理学奖。然而，关于QKD作用的误解仍然存在。其中之一是认为QKD"没有解决认证问题"而缺乏实用价值。这种观点可能掩盖了QKD在正确集成到现有系统时为安全通信带来的广泛好处。QKD应被视为现有网络安全框架的补充而非替代。功能上，QKD解决了与其他密钥建立协议相同的问题，包括著名的Diffie-Hellman（DH）方法和基于模块格子的密钥封装机制（ML-KEM），但以根本不同的方式实现。与这些方法一样，QKD依赖强认证来防御中间人攻击等威胁。

简言之，密钥交换协议和认证机制是解决不同问题的不同安全原语，必须集成在安全通信系统中。挑战不是给QKD一个认证机制，而是理解如何将其与其他已建立的机制集成以加强整体安全基础设施。随着量子技术的不断发展，重要的是将对话从对认证的怀疑转向考虑如何深思熟虑且实际地实施QKD以应对当前和未来的网络安全需求。

理解认证在QKD中的作用

在QKD背景下讨论认证时，关注的是各方用于交换量子信道活动信息的经典数字信道。这不是关于用户认证方法，而是关于认证通信实体和交换的数据。实体认证确保各方是其声称的身份；数据认证保证接收的信息与声称来源发送的信息相同。QKD协议包括使用两种认证方法的经典通信组件以确保交互的整体安全性。

实体认证

实体认证是一方（“证明者”）声明其身份，另一方（“验证者”）验证该声明的过程。这通常涉及注册步骤，验证者获取关于证明者的可靠身份信息。此步骤的目的是建立"信任根"或"信任锚"，确保验证者有可信的基准用于未来认证。

常用实体认证方法包括：

• 公钥基础设施（PKI）认证：证明者的证书由可信证书颁发机构（CA）签发
• PGP/GPG基于（信任网）认证：信任去中心化，公钥由可信第三方担保
• 预共享密钥（PSK）认证：双方通过离线或其他安全带外方法共享密钥

数据认证

数据认证（消息认证）确保传输数据的完整性和真实性。最常见的方法是对称密码学，双方共享密钥使用密钥消息认证码（MAC）。替代方法使用带数字签名的不对称密码学。

QKD中的认证

第一个量子密码协议BB84仍然是许多现代QKD技术的基础。QKD协议独特之处在于依赖量子物理学基本原理，允许"信息论安全"。这与计算复杂性提供的安全性不同。在量子模型中，任何窃听密钥交换的尝试都可检测，提供经典密码学无法提供的安全层。

QKD依赖经过认证的经典通信信道来确保双方交换数据的完整性，但不依赖该经典信道的机密性。认证只是保证建立密钥的实体是合法的，保护 against中间人攻击。

QKD引导中的认证：可管理的问题

在QKD系统的初始引导阶段，使用基于PKI或PSK的传统认证方法建立认证经典信道。虽然机密性可能需要长期维护（有时数十年），但认证是实时过程。未来某个时间点破坏认证机制不会影响过去的验证。

这意味着对传统非QKD认证方法的依赖仅在引导阶段呈现攻击机会，该阶段通常只持续几分钟。鉴于该阶段相对于QKD部署整体生命周期如此短暂，使用认证机制带来的潜在风险相对较小。

QKD部署考虑因素

QKD实际部署的关键挑战之一是将QKD设备生成的密钥安全传输到目标用户。虽然QKD是向QKD设备本身分发密钥的强大机制，但不涵盖从QKD设备到最终用户的安全密钥交付。

最佳实践是使安全站点的边界尽可能小。一个极端选择是通过将QKD设备和密钥用户的计算硬件放在同一物理单元中，完全消除对经典网络传输密钥的需求。

结论

QKD生成的密钥在量子计算机出现时仍将保持安全，使用这些密钥的通信不易受到RNDL攻击。然而，要使QKD发挥其全部潜力，必须与更广泛的网络安全生态系统密切合作，特别是在密码学以及治理、风险和合规（GRC）等领域。通过整合这些领域建立的见解和框架，QKD可以克服当前在信任和实施方面的挑战。